‘Security is ‘risk-reductie’-onderwerp’

Uit het meest recente rapport van het ‘Security for Business Council’ blijkt dat het takenpakket van security-managers steeds verder groeit. De SBIC is van mening dat ‘de rol van informatiebeveiliging moet uitgroeien tot een business unit overstijgende inspanning waarbij security-processen een essentieel onderdeel worden van de bedrijfsprocessen’.

Mix van specialisten
Om goed beschermd te blijven, moet het security-team een mix worden van specialisten uit IT én verschillende business units zoals inkoop, marketing en legal. De basis van het team moet de algehele security-acties leiden en coördineren en de taken die specialistische kennis vereisen uitvoeren. Het rapport bevat tevens een aantal ideeën over het vinden en ontwikkelen van security-talent.

7 maatregelen
Gebaseerd op dit advies biedt de SBIC zeven maatregelen om organisaties te helpen een professioneel en toekomst-vast securityteam samen te stellen. ISP Today vroeg Corné van Rooij, District Manager Benelux & Switzerland bij RSA (de security-divisie van EMC) in welke zin het rapport van belang is binnen de ISP-sector.

Relevantie
Volgens Van Rooij is het rapport deels relevant, afhankelijk van de dienstverlening van de ISP. “Bij webhostingdiensten zijn alle aspecten van het rapport van belang, aangezien dit een IT dienstverlening is waarbij hoge mate van beschikbaarheid, betrouwbaarheid en integriteit van data en systemen geboden moet worden. De ISP dient dus weerbaar te zijn tegen geavanceerde cyberaanvallen, DDOS, enzovoort. Voor andere bedrijven in de ISP-sector geldt vooral de borging van de netwerk-infrastructuur, dat deze niet gebruikt kan worden om aanvallen te ondersteunen. Denk aan wijzigingen in DNS caches, rerouting van netwerkverkeer en taps van netwerkverkeer.”

Versterken kerncompetenties
De belangrijkste conclusie uit het rapport is voor ISP’s om te focussen op het versterken van kerncompetities legt van Rooij uit. “Ze dienen ook risk owners aan te wijzen, specialisten te betrekken op het gebied van procesoptimalisatie. Als laatste is het ‘out-of-the-box denken’ om toekomstig talent aan te trekken. De andere 3 van de 7 voorgestelde maatregelen van het SBIC zijn iets minder relevant.”

Verschil maken
Naar klanten toe kunnen ISP-professionals tonen dat hun kennis op het gebied van cyber risk intelligence & security data analytics, security data management, risk consultancy en controls design & assurance op peil is. “Kortom, aanbeveling één in de lijst: ‘Versterk je kerncompetenties’. Uiteindelijk zal dat een differentiator zijn naar hun klanten toe. Zaken doen met een ISP die deze kennis in huis heeft is voor een bedrijf/klant een veiligere keuze.”

Risk reductie
Het realiseren dat Internet een backbone is van onze samenleving en dus onderdeel uitmaakt van de vitale infrastructuur van ons land, wil Van Rooij meegeven aan de sector. “Dat betekent dat het zeer goed bestand moet zijn tegen bedreigingen van buitenaf en dat er daarom constant geïnvesteerd zal moeten worden in kennis en kunde binnen het ISP bedrijf. De tijd dat security nog een ‘firewall of tool inrichten’-onderwerp was, is immers al heel ver achter ons. Het is een ‘risk reductie’-onderwerp geworden.”

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.